ルーターの設定

1.ブロードバンドルーターの基本機能

ブロードバンドルーターは、家庭などで光ファイバーやADSLなど高速な回線でインターネットに接続する際に、光終端装置やADSLモデムに接続して使用する装置です。ルータを使用せず、パソコンを光終端装置やADSLモデムに直接接続して使用することも可能ですが、その場合は、1回線に1台のパソコンしか接続できない、攻撃者からの攻撃をパソコンで直接受ける等の欠点があります。ブロードバンドルータの主要な機能は、以下のようなものです。

router02まず、クライアントマシンに代わってPPPoE/PPPoAによる認証を行なう機能があり、パソコン側にPPPoE/PPPoA用の接続ソフトを用意する必要がなくなります。

次に、プロバイダーから提供されるIPアドレスの数は限定されており、家庭用であれば1個だけというケースが多いのですが、このような場合でも、ルータを使用すれば、複数台のパソコンを同時にインターネットに接続することができるようになります。その機能は、NAPT とか、IPマスカレードと呼ばれる技術を利用したもので、プライベートネットワーク側にある多数のパソコンのIPアドレスを、WAN側に割り当てられたIPアドレスに変換するとともに、動的にポート番号を設定することで、多数のパソコンを同時にインターネットに接続できるようにします。

ルータを設置すると、外部から接続してきた場合には、ルーティングの設定をしない限り、すべてのパケットは破棄され、パソコンには届かなくなることから、セキュリティが向上します。なお、ルーターだけでは、悪意のあるサイトに接続した場合、誤ったルーティングの設定をした場合等については攻撃を防ぐことはできませんので、ウィルス対策ソフトの必要がなくなるということはありません。

2.ウェブサーバを公開するための機能

router03ブロードバンドルーターは、デフォルトの状態では、外部からサーバにアクセスすることはできません。そのため、サーバを公開する場合には、「ポートフォワーディング」と呼ばれる機能を使用して、外部からサーバにアクセスできるように設定してやります。ポートフォワーディングは、必要な種類のパケットだけを特定のPCに着信させるというもので、アドレス変換テーブルを設定すれば、その内容に従って、WAN側から特定のIPアドレス/ポートに対してパケットが送信された場合、そのパケットをLAN側の特定のIPアドレス/ポートあてに転送する機能です。

なお、サーバーを公開するもう一つの機能に、DMZと呼ばれる機能があります。WAN側から送信された全パケット(別に指定されているものを除く)を、 LAN側の特定のIPアドレスに転送するというものです。WAN側からの直接のアクセスをLAN側に受け入れるということは、悪意のある攻撃者やコン ピュータウィルスの攻撃に晒されることを意味するので、パケット・フィルタリングを併用して攻撃から防御する必要があります。今回のケースのように開放するポート数が少ない場合は、ポートフォワーディング機能を使用した方が設定も簡単だし、安全性の面からも優れています。

3.ブロードバンドルーターの設定

ブロードバンドルーターにポートフォワーディングを実際に設定する方法ですが、ポートフォワーディングの呼び名がメーカーによって、場合によっては機種によって違った呼び名が使われています。例を以下に示しました。詳しくは、ルーターに添付の説明書を見てください。

  • NEC: ポートマッピング
  • BUFFALO: アドレス変換
  • IOデータ: ポートの開放

具体的な設定手順もルーターによって異なりますが実際の設定項目については、ほぼ同じです。今回設定しようとしているのは、WAN側からルーターにアクセスしてきたHTTP(ポート番号80)のパケットを、LAN 側の192.168.0.3 に転送してやるということなので、下に設定例を示します。

router01